Минцифры может смягчить законопроект о введении оборотных штрафов для бизнеса за утечку персональных данных. Чиновники обсуждают возможность снижения размера штрафов и даже их отсутствие за первый инцидент. Бизнес в течение двух недель должен подготовить предложения по поправкам к документу. Компании настаивают, что на фоне экономической ситуации ужесточение ответственности за утечки ухудшит условия ведения бизнеса. Но эксперты считают, что реально улучшить сохранность данных граждан можно только финансовыми мерами.
Рисунок: Виктор Чумачев, Коммерсантъ
Как стало известно “Ъ”, 7 июля в Минцифры прошло совещание, посвященное разработке поправок к Кодексу об административных правонарушениях (КоАП), устанавливающих размеры штрафов за утечку персональных данных в зависимости от оборота компании, ее допустившей. На встрече присутствовали представители «Ростелекома», МТС, Avito, «Яндекса», Ozon, «Вымпелкома», VK и других компаний.
Министерство еще в мае согласовало законопроект, предполагающий введение штрафа в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке Роскомнадзору (см. “Ъ” от 30 мая). Госдума 6 июня приняла в третьем чтении поправки к закону «О персональных данных», которые вводят обязанность для всех организаций сообщать Роскомнадзору об утечках личной информации граждан (см. “Ъ” от 7 июля). Согласно документу, бизнес должен уведомлять Роскомнадзор об утечке в течение 24 часов после ее обнаружения, а в течение 72 часов предоставить результаты расследования и информацию о виновных.
По словам источников “Ъ”, участвовавших в совещании, Минцифры согласилось не вводить штрафы за первый выявленный факт утечки.
Один из собеседников “Ъ” уточнил, что министерство также согласилось уменьшить размер штрафа за утечку ниже 1% от оборота, однако этот вопрос еще обсуждается. Также речь шла о возможности снизить штраф за утаивание от Роскомнадзора факта утечки, говорят источники “Ъ”. Минцифры поручило бизнесу под руководством «Ростелекома» и VK в течение двух недель разработать предложения по поправкам к законопроекту. В самом министерстве не предоставили комментарий. В «Ростелекоме», МТС, Avito, «Яндексе», Ozon, «Вымпелкоме» и VK отказались обсуждать ситуацию.
Представители бизнеса на совещании предложили трехступенчатую систему наказания за утечки, рассказал источник, знакомый с деталями встречи: «Если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение. В случае повторной компрометации — заплатить крупный штраф. Если же компания допустила утечку в третий раз — получить оборотный штраф».
У общества есть запрос на ужесточение регулирования персональных данных из-за недавних утечек Delivery Club и «Яндекс.Еды», подчеркивает собеседник “Ъ”, знакомый с позицией Минцифры.
Однако, уверен один из участников совещания, в текущей экономической ситуации введение оборотных штрафов выглядит несвоевременным: «В условиях снижения покупательской способности, нарушения цепочек поставок, двузначной инфляции принятие оборотных штрафов еще больше ухудшит условия для бизнеса».
Обычно оборотные штрафы рассчитываются из объема выручки от реализации товара, на рынке которого совершено правонарушение, отмечает член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александра Орехович, но к личной информации применить такой прием не получится. Поэтому законодатель, скорее всего, предложит рассчитывать штрафы исходя из общей выручки, полагает эксперт, то есть выплаты будут «крайне внушительными».
Наказание должно быть не за факт утечки, а за отсутствие мер по ее предотвращению и устранению последствий, считает президент Ассоциации больших данных (АБД) Анна Серебряникова. По ее мнению, размер штрафа должен зависеть от масштаба утечки и ущерба. Но преподаватель Moscow Digital School Олег Блинов считает внедрение оборотных штрафов полезной инициативой, которая стимулирует бизнес выделять средства на защиту информации.